蘋果發佈修復 iCloud 漏洞補丁亡羊補牢

[achuan]

據國外媒體報導，蘋果公司已經發佈了iCloud的漏洞補丁。這一漏洞可以讓攻擊者對iCloud用戶的賬號密碼進行字典攻擊，這導致本週多位名人的私人照片遭洩。不過也只能算是亡羊補牢之舉，大錯已成。

週一，一個用來攻擊iCloud賬號的Python腳本出現在Github上，這一腳本利用Find My iPhone API(應用編程接口)來進行字典攻擊。 Find My iPhone服務並沒有字典攻擊保護功能，這使得它成了iCloud服務的軟肋。 Find My iPhone服務允許攻擊者無限次對密碼進行試錯，直到找到正確密碼為止。

不過看起來腳本的發佈者更多是為了彰顯iCloud的不安全性。在軟體的README文檔中，腳本發佈者提醒使用者確保使用這一腳本的合法性。
並在蘋果打上補丁後表示，“這一問題存在於很多的驗證服務中，基本的探包和逆向工程技術就可對認證進行破解。

另外之前也出現過攻擊者利用 Find My iPhone 鎖死並劫持用戶的漏洞。蘋果的發言人對此事回應到：“我們很嚴肅認真的看待用戶的隱私，正積極調查這一事件。 ”

不過好萊塢艷照門也已經發生了，證明了蘋果很多系統未必真的如我們想像中的那麼安全，雖然修復了漏洞。但是誰又能夠保證沒有下一次呢？

[正港蜂蜜紅茶]

只要是人寫的程式，不可能百分百防漏好嗎，就跟法律一樣，多少都有漏洞可鑽.....

[david255145]

正所謂樹大招風，沒有絕對的安全，以後的世界令人期待的同時，也充滿了無法想像的危機。

[k3859618]

這次的攻擊方式常被稱作字典或暴力破解，原理是得到受害者帳號之後，把常見的密碼每個都試一次，要防範的方式非常簡單，就是密碼要設複雜一點，只要不是人人都容易想到的密碼，都很不容易被試到。

系統方常見的抵禦暴力破解的機制:
使用者密碼錯誤超過一定次數，必須等一段時間才能再次登入(例如iPhone)，或是封鎖IP，但昨日看了新聞之後，上iCloud測試，故意一直輸入錯誤的密碼，iCloud也不會有任何阻擋的動作，如果有心人利用鍵盤精靈之類的軟體(甚至手動)，同樣的悲劇可能還會發生，希望Apple快對icloud增設防暴力破解的機制。

[AlanLiTW]

任何雲端都會有風險，沒有廠商可以保證100%的安全，但是，重點在於如何管理才能降低風險，這不單單是廠商的責任，使用者也要有意識！
最簡單的就是密碼強度
設定密碼強度夠不夠，強度夠了，也不代表駭客無法竊取或破解，在於是否容易達成。

是不是email或是網站會員都用同一個密碼？
有時候因為你的某個Mail密碼被破解，進而影響到你在其它網站也被偽冒登入，造成資料外洩。

是不是定期更改密碼？
這要養成習慣，並不是每個人都會想到要去更改密碼，因為要記得密碼太多了（如果你每個帳號都用不同密碼），其實，自己可以找出一個屬於自己的密碼邏輯，這樣就會產生不同的變化，自己也比較好記。

好奇心不要太重！
對於異常的郵件或是連結，千萬不要有貓咪的精神，寧可錯殺也不要中標一次！

除了靠廠商來做好資料保護的工作，自己也要有安全的意識，因為，資安防護不是一直線的，而是由不同的同心圓所建構，一個圓做不到100%的防護，但是，一組同心圓卻是可以交互防護，降低風險！

淺見～分享～謝謝

[cowerdc]

經過這次事件後，我已不相信蘋果了！老是說自己多安全，看蘋果如何解決這事件？

[ulyssesric]

你要擔心的其實不是暴力硬解，而是社交工程。

這次的事件到目前為止還無法確認是否和 iCloud 有關，
因為這些相片不是在短時間內攻破漏洞大量掠奪，
而是在長達數年的時間內，由不特定的多數人，
經由不明管道陸續蒐集，在地下網路社群流傳。
其中大多數相片已被指稱係偽造，
其他相片流出來源與流出時間都無法確定。

把洩漏和 iCloud 扯上關係的，
其實只是一個在地下色情論壇的匿名鄉民，
在 8/26 發吹牛帖宣稱他剛剛掠奪了 iCloud，
然後貼了一張奧斯卡女星相片宣稱是「戰利品」。
而那個匿名鄉民的發言，已有明確證據指證他在說謊：
那張相片確定最晚在 8/19 就已經在地下網路流傳。

後續 Apple 調查結果宣稱，有一些名人的帳號確實有被盜用，
但不是被駭侵或破解，而是被社交工程騙走。
使用的手法，就是釣魚信，或是偽裝「遺失密碼」然後猜安全提問。
至於這些被盜用的帳號是否真的有相片流出還無法判定。


當我們講到網路安全議題時，請先建立一個正確觀念：「人類」才是系統中最弱的一環。

暴力硬解法聽起來很恐怖，但是實際上根本不大可能發揮效用。
暴力硬解法講白了就是一直試一直試，從 "0" 一直試到 "ZZZZZZZZZZZZZZZZZZ"。
做這種測試要花相當久的時間，以 iCloud 允許的最弱密碼底限 8 個字元長度來說，
完整的測試集合總共要執行 218340105584896 次，
你可以自己想像看看測試完要跑多久。

當然比較聰明的暴力硬解法會優先嘗試多數人都會使用的密碼組合，
例如 "yahoo2014" 這種，大部分人都會用的常用字來排列組合。
雖然這樣可以大幅提昇使用較小測試集合就成功破解的機率，
但是這個「較小」測試集合基本上還是一個天文數字。
像我自己先前用的 iCloud 密碼，利用 Intel Password Strength Simulator 測試，
一台 PC 在 local 端用暴力破解法破解一個用這組密碼加密的檔案，要跑 48073 年。
而透過網路攻擊驗證，要花的時間至少要百倍以上。歡迎駭客嘗試。

只要你的密碼不要太無腦，你就不需要太擔心暴力硬解。
你真的該憂心的，是社交工程。

[MKQAWAN]

從未對網路隱私有放心過，所以絕不把私密照放在有聯網的設備上。
我把所有可以聯網設備的鏡頭都當成全世界駭客的監視器。
因此家裡所有電腦的視訊鏡頭上都貼有便立貼，洗澡也不帶手機。
買了iPhone 座充後，發現常把自己暴露在鏡頭前後，就不用了。

即使我不帥，也不是公眾人物，但依然會怕不小心變成三級片的主角。

[twkraito]

經過這次事件後，我已不相信蘋果了！老是說自己多安全，看蘋果如何解決這事件？

懇請大大提供 您現在能信服的品牌供大家參考～

大家一定會很感激你的

[dolph579]

經過這次事件後，我已不相信蘋果了！老是說自己多安全，看蘋果如何解決這事件？

iCloud 固然方便, 真正重要的東西 如公事機密 私密照片 最好還是別上雲端較好
網路世界 防不勝防!!